Alfonso Maruccia

USA, indagini sulla sicurezza mobile

FTC ed FCC unite nel chiedere a Apple e Google, a produttori e operatori spiegazioni su come e quando gestiscono la distribuzione delle patch sui rispettivi prodotti

Roma - Federal Communications Commission (FCC) e Federal Trade Commission (FTC) hanno avviato due indagini conoscitive nei confronti dei più importanti player del mercato mobile, un "sondaggio" che ha lo scopo di capire in dettaglio come le aziende gestiscono la distribuzione degli aggiornamenti di sicurezza sui terminali degli utenti finali.

L'iniziativa di FTC riguarda otto produttori e OEM di alto profilo (Apple, BlackBerry, Google, HTC, LG, Microsoft, Motorola, Samsung), con l'agenzia federale che vuole conoscere i fattori che le aziende considerano nella distribuzione di un update per una vulnerabilità su un particolare dispositivo mobile. FTC vuole poi conoscere anche lo "storico" delle falle che hanno interessato i terminali e l'eventuale disponibilità di patch correttive.

L'indagine di FCC, invece, prende di mira soprattutto i carrier telefonici (AT&T, Sprint, Verizon e altri) che dovranno spiegare il processo alla base della revisione e distribuzione degli aggiornamenti di sicurezza per i dispositivi mobile che in taluni casi transitano attraverso la loro approvazione.
Le tempistiche di gestione degli aggiornamenti per smartphone e dispositivi similari sono questione di dibattito e polemica già di lungo corso, e le due nuove indagini USA sarebbero scaturite da una denuncia di American Civil Liberties Union formulata nel 2013 contro i rallentamenti nella distribuzione dei fix per bachi altamente pericolosi.

Dall'alto della sua posizione più che rilevante nel mercato degli OS mobile, Google Android vanta un poco invidiabile primato nella questione: l'ultima falla di sicurezza "sistemica" identificata dai ricercatori (CVE-2016-2060) risale a svariati anni fa, coinvolge centinaia di milioni di dispositivi e può portare alla compromissione di dati sensibili come i messaggi testuali, le chiamate effettuate e altro ancora.
Introdotta da Qualcomm nella base open source di Android (AOSP) nel lontano 2011, la vulnerabilità coinvolge per lo meno i terminali basati su Android "Jelly Bean" 4.3 e successivi; la patch è già disponibile ma non nel codice di AOSP, per cui la distribuzione a tutta la platea di utenti coinvolti è problematica e richiede il coinvolgimento attivo da parte di OEM e carrier mobile.

Alfonso Maruccia
Notizie collegate
65 Commenti alla Notizia USA, indagini sulla sicurezza mobile
Ordina
  • Mi stupisco che si sia posto il problema solo ora. La soluzione? Semplice.

    Imposizione di rilascio dei sorgenti (cosi' finiscono in AOSP) e un periodo di supporto obbligatorio per legge.
    4 anni mi sembra un buon compromesso.

    Ovviamente per chi già lo fa (no, neanche google lo fa. Ma la colpa e' di qualcomm/broadcom/nvidia), spallucce.

    Per chi non lo fa grandi razzi e lacrime con sangue copioso.
    non+autenticato
  • - Scritto da: bubba
    > Mi stupisco che si sia posto il problema solo
    > ora. La soluzione?
    > Semplice.
    >
    > Imposizione di rilascio dei sorgenti (cosi'
    > finiscono in AOSP) e un periodo di supporto
    > obbligatorio per
    > legge.

    Tanto i sorgenti non li legge nessuno se non a fronte di problema conclamato.

    Il code review non funziona since 10 years old.
    maxsix
    10854
  • - Scritto da: maxsix

    > Il code review non funziona since 10 years old.
    Traduzione Please forse conosci così bene l'inglese che non sai cosa hai scritto e io non vorrei perdere l'occasione per farmi altre 4 risate!
    Grazie...
    Ficoso
    non+autenticato
  • - Scritto da: maxsix
    > - Scritto da: bubba
    > > Mi stupisco che si sia posto il problema solo
    > > ora. La soluzione?
    > > Semplice.
    > >
    > > Imposizione di rilascio dei sorgenti (cosi'
    > > finiscono in AOSP) e un periodo di supporto
    > > obbligatorio per
    > > legge.
    >
    > Tanto i sorgenti non li legge nessuno se non a
    > fronte di problema
    > conclamato.
    che importa se non li leggono... importante e' che li scrivanoSorride e li ri-scrivano quando scoprono il bugo. se tutto il tree stesse in AOSP ci vuole moltomolto meno impegno per spingere ad aggiornare device 'vecchi'. kernel.org insegna.

    > Il code review non funziona since 10 years old.
    uhn? sicuro non avere tu "10 years old?"Sorride:)
    non+autenticato
  • Mi stupisco che si sia posto il problema solo ora. La soluzione? Semplice.

    Imposizione di un periodo di supporto obbligatorio per legge.
    4 anni mi sembra un buon compromesso.

    Ovviamente per chi già lo fa, spallucce.
    Per chi non lo fa grandi razzi e lacrime con sangue copioso.

    Ovviiamente va implementata nella baseband una procedura di verifica della
    Signature dell'OS e i vari smanettoni di turno vengono segnalati al produttore di turno che per legge procede al brick della baseband stessa e ban dell'imei.

    Non è contemplato il ripristino della versione originale se non in un centro di assistenza ufficiale sotto lauto compenso imposto che metterei sui 300 euri.
    -----------------------------------------------------------
    Modificato dall' autore il 11 maggio 2016 13.28
    -----------------------------------------------------------
    maxsix
    10854
  • - Scritto da: maxsix
    > Mi stupisco che si sia posto il problema solo
    > ora. La soluzione?
    > Semplice.
    >
    > Imposizione di un periodo di supporto
    > obbligatorio per
    > legge.
    > 4 anni mi sembra un buon compromesso.
    >
    > Ovviamente per chi già lo fa, spallucce.
    > Per chi non lo fa grandi razzi e lacrime con
    > sangue
    > copioso.
    >
    > Ovviiamente va implementata nella baseband una
    > procedura di verifica
    > della
    > Signature dell'OS e i vari smanettoni di turno
    > vengono segnalati al produttore di turno che per
    > legge procede al brick della baseband stessa e
    > ban
    > dell'imei.
    >
    > Non è contemplato il ripristino della versione
    > originale se non in un centro di assistenza
    > ufficiale sotto lauto compenso imposto che
    > metterei sui 300
    > euri.
    Senti ma nell'attesa che il mondo si adegui alle tue geniali idee e prima che arrivino gli infermieri con la camicia di forza a portarti via.... te e il tuo cappellino da Napoleone

    Ti spiace se io cambio il codice da:
    -    if (!iface) {
    -        ALOGE("addUpstreamInterface: received null interface");
    -        return 0;
    A:
    +    if (!isIfaceName(iface)) {
    +        ALOGE("addUpstreamInterface: received invalid interface");
    +        errno = ENOENT;
    +        return -1;

    Nel file
    "TetherController.cpp"....

    Mica che non ti creda eh!
    è solo che per prudenza hai visto mai prima che tu diventi presidente mondiale.... magari passa un pochino di tempo...
    A bocca aperta
    non+autenticato
  • ah a proposito.... mi scordavo il problema sta nel driver del controller qualcomm atheros-ar9565 (wifi e BT) ... e... sarò malizioso... ma se i driver binari (closed) rilasciati da qualcom stessa contengono quell'errore... è verosimile che lo contengano in diversi sistemi...
    A bocca apertaA bocca aperta
    Io fossi in te darei una occhiatina alle BOM delle cose che usi magari... c'è quel chip...
    Così per dire eh!
    Sempre aspettando la attuazione delle tue geniali idee...
    Ficoso
    non+autenticato
  • - Scritto da: giaguareggi ando ma con merdeces
    > ah a proposito.... mi scordavo il problema sta
    > nel driver del controller qualcomm atheros-ar9565
    > (wifi e BT) ... e... sarò malizioso... ma se i
    > driver binari (closed) rilasciati da qualcom
    > stessa contengono quell'errore... è verosimile
    > che lo contengano in diversi
    > sistemi...
    >   A bocca apertaA bocca aperta
    > Io fossi in te darei una occhiatina alle BOM
    > delle cose che usi magari... c'è quel
    > chip...
    > Così per dire eh!
    > Sempre aspettando la attuazione delle tue geniali
    > idee...
    > Ficoso

    Io non capisco dove tu voglia andare a parare.
    A me di quello che c'è dentro a livello di chip non me ne po' fregare di meno.

    Io pretendo che la periferica che compro venga supportata per legge visto che i produttori di cineserie a voi tanto care se ne sbattono altamente con la scusa di Android by Google.

    E che ci sia un controllo stretto sugli aggiornamenti e che bimbiminkia qualunque non possano metterci mano.

    Fine e stop.
    maxsix
    10854
  • - Scritto da: maxsix

    > che bimbiminkia qualunque non
    > possano metterci
    > mano.
    >

    il bimbominkia sarà libero di fare la minkia che gli pare con il dispositivo che compra? Se non fa male a nessuno tranne che, al limite, a sè stesso dove sta il problema?
    non+autenticato
  • - Scritto da: PandaR1
    > - Scritto da: maxsix
    >
    > > che bimbiminkia qualunque non
    > > possano metterci
    > > mano.
    > >
    >
    > il bimbominkia sarà libero di fare la minkia che
    > gli pare con il dispositivo che compra? Se non fa
    > male a nessuno tranne che, al limite, a sè stesso
    > dove sta il
    > problema?

    NO NON DEVE POTERLO FARE!!!

    (altrimenti qualcuno si potrebbe accorgere che un bimbominkia qualunque produce un prodotto migliore di "sviluppatori dalla mattina alla sera" (cit.))
    non+autenticato
  • - Scritto da: gino
    > - Scritto da: PandaR1
    > > - Scritto da: maxsix
    > >
    > > > che bimbiminkia qualunque non
    > > > possano metterci
    > > > mano.
    > > >
    > >
    > > il bimbominkia sarà libero di fare la minkia
    > che
    > > gli pare con il dispositivo che compra? Se
    > non
    > fa
    > > male a nessuno tranne che, al limite, a sè
    > stesso
    > > dove sta il
    > > problema?
    >
    > NO NON DEVE POTERLO FARE!!!
    >
    > (altrimenti qualcuno si potrebbe accorgere che un
    > bimbominkia qualunque produce un prodotto
    > migliore di alcuni "sviluppatori dalla mattina alla
    > sera"
    > (cit.))
    non+autenticato
  • - Scritto da: gino
    > - Scritto da: gino
    > > - Scritto da: PandaR1
    > > > - Scritto da: maxsix
    > > >
    > > > > che bimbiminkia qualunque non
    > > > > possano metterci
    > > > > mano.
    > > > >
    > > >
    > > > il bimbominkia sarà libero di fare la
    > minkia
    > > che
    > > > gli pare con il dispositivo che compra?
    > Se
    > > non
    > > fa
    > > > male a nessuno tranne che, al limite, a
    > sè
    > > stesso
    > > > dove sta il
    > > > problema?
    > >
    > > NO NON DEVE POTERLO FARE!!!
    > >
    > > (altrimenti qualcuno si potrebbe accorgere
    > che
    > un
    > > bimbominkia qualunque produce un prodotto
    > > migliore di alcuni
    > "sviluppatori dalla mattina
    > alla
    > > sera"
    > > (cit.))

    Non hai capito un razzo di tutta la questione.

    Qui non si sta parlando delle tue presunte capacità nel risolvere il problema (a cui puoi sempre contribuire nei modi e nei termini ufficiali) ma del fatto che alla gente non arrivano i DOVUTI aggiornamenti di sicurezza.

    Quindi delle 2 una:
    1) è più importante tutelare la tua presunta libertà di smanettamento
    2) è più importante tutelare la massa (milioni di persone) che hanno in mano uno smartphone colabrodo

    Assolutamente la 2.
    Senza nessun dubbio.
    maxsix
    10854
  • - Scritto da: maxsix

    > Non hai capito un razzo di tutta la questione.
    >
    > Qui non si sta parlando delle tue presunte
    > capacità nel risolvere il problema (a cui puoi
    > sempre contribuire nei modi e nei termini
    > ufficiali) ma del fatto che alla gente non
    > arrivano i DOVUTI aggiornamenti di
    > sicurezza.
    >
    > Quindi delle 2 una:
    > 1) è più importante tutelare la tua presunta
    > libertà di
    > smanettamento
    > 2) è più importante tutelare la massa (milioni di
    > persone) che hanno in mano uno smartphone
    > colabrodo
    >
    > Assolutamente la 2.
    > Senza nessun dubbio.

    E' importante tutelare la massa, ma la libertà di smanettamento non compromette in nessun modo la tutela della massa.
    Possibile che non capisci che i 2 punti non sono legati in nessuna maniera? A sto punto npn c'è niente da dire.
    non+autenticato
  • - Scritto da: PandaR1
    > - Scritto da: maxsix
    >
    > > Non hai capito un razzo di tutta la
    > questione.
    > >
    > > Qui non si sta parlando delle tue presunte
    > > capacità nel risolvere il problema (a cui
    > puoi
    > > sempre contribuire nei modi e nei termini
    > > ufficiali) ma del fatto che alla gente non
    > > arrivano i DOVUTI aggiornamenti di
    > > sicurezza.
    > >
    > > Quindi delle 2 una:
    > > 1) è più importante tutelare la tua presunta
    > > libertà di
    > > smanettamento
    > > 2) è più importante tutelare la massa
    > (milioni
    > di
    > > persone) che hanno in mano uno smartphone
    > > colabrodo
    > >
    > > Assolutamente la 2.
    > > Senza nessun dubbio.
    >
    > E' importante tutelare la massa, ma la libertà di
    > smanettamento non compromette in nessun modo la
    > tutela della
    > massa.
    > Possibile che non capisci che i 2 punti non sono
    > legati in nessuna maniera? A sto punto npn c'è
    > niente da
    > dire.

    Eh no.

    Io non posso sapere se il tuo smanettamento è positivo o negativo a prescindere.

    Quindi si smannaia a prescindere tutto.

    Oppure ti iscrivi come sviluppatore ufficiale e ti vengono date le credenziali e i gradi per poter mettere mano. Ovviamente se fai casini sappiamo e veniamo a prenderti.
    maxsix
    10854
  • - Scritto da: maxsix

    > Io non posso sapere se il tuo smanettamento è
    > positivo o negativo a
    > prescindere.

    Ma che ti stai inventando ?A bocca aperta

    > Oppure ti iscrivi come sviluppatore ufficiale e
    > ti vengono date le credenziali e i gradi per
    > poter mettere mano. Ovviamente se fai casini
    > sappiamo e veniamo a
    > prenderti.

    Rotola dal ridere
    non+autenticato
  • La piu' grossa falla su android e' stata inserita nell' AOSP da Qualcomm che poi ha rilascitato una patch ma non nell'AOSP e demanda ai produttori la distribuzione....
    Io indagherei qualcomm
    non+autenticato
  • >la patch è già disponibile ma non nel codice di AOSP, per cui la distribuzione a tutta la platea di utenti coinvolti è problematica e richiede il coinvolgimento attivo da parte di OEM e carrier mobile.


    Quindi ricapitoliamoRotola dal ridere, queste patch non si vedranno MAI!

    O voi che andate con lo smartphone in mano... è ora di lasciarlo nel cassetto, e prenderlo solo per usi davvero seri.

    Ps. questo vale sia per android che per iphone che black berry.....
    non+autenticato
  • - Scritto da: Il fuddaro
    > >la patch è già disponibile ma non nel codice di
    > AOSP, per cui la distribuzione a tutta la platea
    > di utenti coinvolti è problematica e richiede il
    > coinvolgimento attivo da parte di OEM e carrier
    > mobile.
    >
    >
    > Quindi ricapitoliamoRotola dal ridere, queste patch non si
    > vedranno
    > MAI!
    >
    > O voi che andate con lo smartphone in mano... è
    > ora di lasciarlo nel cassetto, e prenderlo solo
    > per usi davvero seri.
    >
    >
    > Ps. questo vale sia per android che per iphone
    > che black
    > berry.....
    Figo!
    e spiegami se non si "vedranno mai" questa cosa è?

    Subject: [PATCH] netd: Validate incoming upstream interface before adding

    Add isIfaceName check to addUpstreamInterface.

    Change-Id: Iacb5cb1ca6476765e5350b1cf3d822f4fcda32b8
    CRs-Fixed: 959631
    ---
    server/TetherController.cpp | 7 ++++---
    1 file changed, 4 insertions(+), 3 deletions(-)

    diff --git a/server/TetherController.cpp b/server/TetherController.cpp
    index f6287c8..c4d6b83 100644
    --- a/server/TetherController.cpp
    +++ b/server/TetherController.cpp
    @@ -482,9 +482,10 @@ int TetherController::addUpstreamInterface(char *iface)

         ALOGD("addUpstreamInterface(%s)\n", iface);

    -    if (!iface) {
    -        ALOGE("addUpstreamInterface: received null interface");
    -        return 0;
    +    if (!isIfaceName(iface)) {
    +        ALOGE("addUpstreamInterface: received invalid interface");
    +        errno = ENOENT;
    +        return -1;
         }
         for (it = mUpstreamInterfaces->begin(); it != mUpstreamInterfaces->end(); ++it) {
             ALOGD(".");
    --
    1.8.2.1
    non+autenticato